安全黑客
当前位置:安全黑客文章资讯安全资讯安全新闻
日期:2018-12-03 23:12:00  来源:本站整理

利用Azure安全中心可以提前检测到Linux受到的攻击[安全新闻]

赞助商链接



  本文“利用Azure安全中心可以提前检测到Linux受到的攻击[安全新闻]”是由安全黑客为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

一般来说,黑客会在攻击之前选择攻击目标,比如盗取存储在受害者计算机上的信息,或者获取设备的某些访问权限,更有甚者,直接使用受害设备本身的处理能力,甚至将计算机作为其他攻击的起点(比如挖矿或作为肉鸡)。在Microsoft Azure的Linux虚拟机(VM)上,研究人员经常看到攻击者安装并运行加密货币挖掘软件
Azure安全中心(ASC)使用在多个Linux发行版上运行的代理,在启用auditd时,它会收集包括流程创建事件的日志。它们通过检测pipeline运行,以查找恶意和可疑的活动,安全警报会显示在ASC的门户网站上。
Microsoft威胁情报中心使用了一系列方法来识别新出现的威胁,包括复杂的混合Linux蜜罐服务,蜜罐是一种诱饵系统,引诱网络攻击者自我暴露。
在这篇文章中,研究人员讨论了一些最近新发生的实例,其中针对蜜罐的攻击源自客户设备中的IP。在这种情况下,受攻击的客户VM上的恶意行为会导致Azure安全中心发出警报。对这些攻击的分析可以更深入的了解攻击者的行为,并为进一步的检测提供依据,使研究人员能够更早的向用户发出攻击警报,并提供一个更完整的端到端攻击视图。
攻击的初步阶段
检测攻击的设置如下所示,根据检测到的数据,研究人员发现使用具有默认密码的Apache Cassandra帐户最一开始只会破坏Azure VM。一旦获得访问权限,攻击就会被蜜罐(1)和其他目标(2)捕获。根据捕获的信息,研究人员确定了攻击者用来登录此VM的两个IP地址(3,4),其中一个也攻击了蜜罐(5)。

研究人员看到的针对客户虚拟机的最常见的攻击之一是暴力攻击或密码喷雾攻击,这些攻击很快会演变成挖矿。
主机枚举
攻击的初步阶段过后,攻击者从域nasapaul.com下载了一个基于perl的主机枚举脚本,该域包含一些枚举和速度测试脚本。 Azure安全中心通过“从已知恶意来源检测到的文件下载”警报,来提醒用户。

该脚本在/ proc / cpuinfo文件中查找特定信息,以便让攻击者了解它们所使用的设备类型。你可以在下面的文本框中看到一些命令。这个脚本还运行了一个speed test命令,这是nasapaul.com提供的服务。
CPU=$(grep –m 1 “model name” /proc/cpuinfo | cut –d: –f2 | sed-e ‘s/^ */ /’ |sed –e ‘s/$/ / ‘)
CPUS=$ (grep –c ^processor /proc/cpuinfo)
STEP=$ (grep –m 1 “stepping” /proc/cpuinfo | cut –d: –f2 | sed –e ‘s/^ */ / ‘ | sed –e ‘s/$/ / ‘)
BOGO=$ (grep –m 1 “stepping” /proc/cpuinfo | cut –d: –f2 | sed –e ‘s/^ */ / ‘ | sed –e ‘s/$/ / ‘)
OS=$ (lsb_release –si)
ram=$ (free –m | grep –oP ‘\d+’ | head –n 1)
VER=$ (uname –a)
uptime=$ (
后期攻击
该会话结束时,攻击者会紧接着启动一个新的会话,并创建一个与安全FTP服务器的连接,再将某些文件删除,修改要执行的文件。
chmod +x 1 cyberinfo cybernetikrandom go h4e petarda port pscan2 screen speedtestvps.py sshd
这组文件是来自一个已知黑客组织的工具包,攻击者使用“go”文件,在两个不同的B类IP范围运行“pscan2”和“sshd”。这意味着他们对65000多个地址进行了扫描。他们还使用了“h4e”工具,研究人员的调查显示这是一个用于拒绝服务攻击的perl脚本。文本文件“port”会保存扫描结果,扫描结果通常是IP正在监听的内容以及可能打开的端口。目前尚不清楚这些命令是否能成功完成扫描,因为两小时后,攻击者就将所有命令全部删除,并删除了另一个工具包。
密码喷雾(Password spray)
wget 是一个从网络上自动下载文件的自由工具,支持通过HTTP、HTTPS、FTP三个最常见的 TCP/IP协议下载,并可以使用 HTTP 代理。"wget" 这个名称来源于 “World Wide Web” 与 “get” 的结合。本文所检测的攻击者,就是使用的Wget,如上所述,攻击者会将用于攻击的工先进行修改,再执行攻击。
chmod +x a all classes co gasite.txt hu pass range scan.log ssh2 x
/bin/bash ./a ##.49
./ssh2 1500 -b ##.49 pass 22 "uname -a & lscpu"
/bin/bash ./a ###.66
./ssh2 1500 -b ###.66 pass 22 "uname -a & lscpu"
nano gasite.txt
这样经过设置后,攻击者就可以针对多个B类范围重复相同的简单攻击模式了。文件“a”将B类范围的前两个八位字节作为输入,然后调用“ssh2”。 “ssh2”接受多个线程的输入、范围、密码文件(在本文的样本中,包含超过35000个用户或密码组合的密码)、端口号以及要运行的初始命令,文件“gasite.txt”收集输出内容。
稍后,研究人员会看到文件“co”和“range”与“classes”文件夹一起使用。 “classes”文件夹包含26个云和托管公司及其IP范围的详细信息,微软和其他主要供应商的信息都包含在其中。文件“co”和“range”只是将最初的两个八位字节扩展为一个完整的IP。
攻击者似乎没有执行“all”,“hu”或“x”文件,但它们都与配置IP范围有关,特别是填写IP的完整四个八位字节,很可能“ssh2”可执行文件使用了这些文件。

[1] [2]  下一页


  以上是“利用Azure安全中心可以提前检测到Linux受到的攻击[安全新闻]”的内容,如果你对以上该文章内容感兴趣,你可以看看安全黑客为您推荐以下文章:
  • 利用Azure安全中心可以提前检测到Linux受到的攻击
  • 本文地址: 与您的QQ/BBS好友分享!

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    免责条款 - 广告合作 - 下载声明 - 欢迎投稿 - 友情连接 - 网站地图 -
    Copyright © 2012-2013 www.110hack.com. All Rights Reserved .